Planungshandbuch für sicheren Zugriff unter Verwendung von Smartcards
Kapitel 4 – Verwendung von Smartcards zur Sicherung von RAS-Konten
In den meisten Unternehmen und Organisationen ist es heutzutage erforderlich, Remotezugriff auf Netzwerkressourcen über DFÜ- oder Virtual Private Network (VPN)-Verbindungen zur Verfügung stellen. Dieser Trend wird durch den kontinuierlichen Wandel von Geschäftsbedingungen wie die Bereitstellung von Support für Remotebenutzer oder Außendienstmitarbeiter nur beschleunigt. Remotezugriff bietet einem Unternehmen zwar zahlreiche Vorteile, jeglicher externe Zugriff setzt das Unternehmensnetzwerk jedoch in erheblichem Maße potenziellen Sicherheitsbedrohungen aus. Deshalb stellt die 2-Faktoren-Authentifizierung in zunehmendem Maße eine unverzichtbare Komponente für Netzwerke mit Remotezugriff dar.
Auf dieser Seite
Sichern von Remotezugriff mithilfe von Smartcards
Probleme und Anforderungen
Lösungsentwurf
Zusammenfassung
Sichern von Remotezugriff mithilfe von Smartcards
Über Remotezugriff sollten alle autorisierten Mitarbeiter die Möglichkeit haben, auf die Intranetressourcen eines Unternehmens zuzugreifen. Um Remotezugriff über VPN zu ermöglichen, müssen Ports innerhalb Ihrer externen Firewall geöffnet werden. Durch diese Zugriffserweiterung entsteht eine Lücke, über die Angreifer möglicherweise in das Netzwerk eindringen können.
Wie bereits in Kapitel 1 dieses Handbuchs („Einführung“) erwähnt, hängt bei einer Authentifizierung von Konten, die auf der Verwendung von Benutzernamen und Kennwörtern basiert, die gesamte Sicherheit der Zugriffssteuerung vom Kennwort ab. Kennwörter sind anfällig für Manipulationen, und die Anmeldeinformationen für einen gefährdetes Konto, das über Remotezugriff auf ein Unternehmensnetzwerk verfügt, könnte für kriminelle Organisationen von Interesse sein.
Sie können zwar eine Domänenkennwort-Sperrrichtlinie für Benutzerkonten konfigurieren, diese Kontensperrrichtlinie eröffnet jedoch die Möglichkeit von Dienstverweigerungsfehlern (Denial of Service, DoS), bei denen das Konto des Remotebenutzers dauerhaft gesperrt wird. Durch diese Fehler werden Informationen auf dem Netzwerk zwar nicht gefährdet, sie sorgen jedoch für Frustration beim ausgesperrten Benutzer.
Sichere Benutzerauthentifizierung, für die in eine Smartcard eingebettete digitale Zertifikate verwendet werden, stellen eine zuverlässige und flexible Methode zur Absicherung von Remotezugriffsverbindungen dar.
Anforderungen an die Clients
Die Verwendung von Smartcards für die Remotezugriffssteuerung ist abhängig von den auf dem Remoteclient ausgeführten Komponenten. Sie müssen über detaillierte Kenntnisse dieser Komponenten und insbesondere über den Verbindungs-Manager und das Verbindungs-Manager-Verwaltungskit (CMAK) verfügen. Mithilfe des Verbindungs-Managers wird die Einrichtung und die Verwaltung von Netzwerkverbindungen zentralisiert und automatisiert. Der Verbindungs-Manager unterstützt die folgenden grundlegenden Bereiche für die Konfiguration des Smartcardzugriffs:
Extensible Authentication-Protokoll – Transport Layer Security (EAP-TLS) für VPN- und Remotezugriffsverbindungen
Sicherheitsprüfungen auf Anwendungsebene zur automatischen Verwaltung von Clientcomputerkonfigurationen
Sicherheits- und Gültigkeitsprüfungen für Computer als Teil des Anmeldeprozesses
Weitere Informationen zum Verbindungs-Manager und dem CMAK finden Sie auf der Seite „Connection Manager Administration Kit“ (in englischer Sprache) unter https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/be5c1c37-109e-49bc-943e-6595832d5761.mspx.
Verbindungs-Manager für den Client
Für die Implementierung einer verwaltbaren Remotezugriffslösung müssen Sie Verbindungs-Manager-Einstellungen für mehrere Clients erstellen und bereitstellen. Für die Bereitstellung des Verbindungs-Managers für mehrere Clients werden Verbindungs-Manager-Profile erstellt.
Verbindungs-Manager-Profile sind individuell angepasste Client-Dialer-Pakete für den Verbindungs-Manager, die mit dem CMAK erstellt und Clientcomputern in Form einer selbstextrahierenden EXE-Datei bereitgestellt werden. Für die Verteilung von Profilen kann jedes beliebige Softwareverteilungssystem verwendet werden, z. B. Gruppenrichtlinien, Microsoft® Systems Management Server 2003, CDs oder USB-Schlüssel.
Wenn Sie die EXE-Datei ausführen, wird das Profil auf dem lokalen Computer installiert, einschließlich der entsprechenden Telefonnummern oder Hostadressen für die Verbindung zu den RAS-Servern. Sobald Benutzer eine Verbindung über das jeweilige Verbindungs-Manager-Profil herstellen, prüft der Verbindungs-Manager automatisch, ob eine Smartcard vorhanden ist und fordert den Benutzer zur Eingabe der PIN auf. Wenn der Benutzer die richtige PIN eingibt, stellt der Verbindungs-Manager die entsprechenden DFÜ- und VPN-Verbindungen her und authentifiziert die Anmeldeinformationen des Benutzers.
Zudem vereinfacht der Verbindungs-Manager den Verbindungsvorgang für den Benutzer. Der Verbindungs-Manager schränkt die Anzahl an Konfigurationsoptionen ein, die vom Benutzer geändert werden können, und gewährleistet, dass Benutzer stets erfolgreich eine Verbindung herstellen können. Unternehmen können Verbindungs-Manager individuell anpassen, um folgende Komponenten zu definieren:
Verfügbare Telefonnummern. Eine Liste der für den Benutzer verfügbaren Telefonnummern auf Grundlage des jeweiligen physischen Standorts.
Benutzerdefinierter Inhalt. Der Dialer kann benutzerdefinierte Grafiken, Symbole, Meldungen und Hilfethemen beinhalten.
Verbindungen vor dem Tunneln. DFÜ-Internetverbindungen, die automatisch vor dem Aufbau einer VPN-Verbindung hergestellt werden.
Aktionen vor und nach hergestellter Verbindung. Dazu gehört unter anderem die Möglichkeit, das Dialerprofil oder die Konfiguration der Windows Firewall zurückzusetzen, damit Ausnahmen von Paketfilterregeln ignoriert werden.
Anforderungen an das Betriebssystem
Lösungen, bei denen Smartcards für Remotezugriff verwendet werden, funktionieren nur unter Microsoft Windows® XP Professional. Microsoft empfiehlt Windows XP Professional mit SP2 (oder höher). Auf den Clientcomputern sollten alle aktuellen Sicherheitsupdates installiert sein.
Serveranforderungen
Die Serveranforderungen für Lösungen mit Smartcardzugriff sind relativ unkompliziert. Auf den RAS-Servern muss Windows 2000 Server oder höher installiert sein, und die Server müssen EAP-TLS unterstützen.
Hinweis: Im Gegensatz zu den Smartcards für das Administratorenszenario ist Microsoft Windows Server™ 2003 beim Einsatz von Smartcards für den Remotezugriff nicht erforderlich. Es wird jedoch ausdrücklich empfohlen, die PKI auf Windows Server 2003 mit Service Pack 1 (SP1) oder höher zu aktualisieren.
Überlegungen zu DFÜ und VPN
Im Rahmen der Lösung werden Smartcards verwendet, um zu gewährleisten, dass der Remotezugriff DFÜ-Zugriff über ISDN- oder PSTN-Verbindungen unterstützt. Unter Umständen kann es jedoch zu verlängerten Anmeldezeiten kommen.
Remoteverbindungen, für die VPN-Verbindungen verwendet werden, stellen eine zusätzliche Belastung für den Prozessor des RAS-Servers dar. Mithilfe von Smartcards gesicherte Anmeldevorgänge stellen keine nennenswerte zusätzliche Belastung für den Prozessor dar, können jedoch zu längeren Anmeldezeiten führen. RAS-Server mit VPN, die ein hohes Volumen an eingehenden Verbindungen verarbeiten müssen, benötigen schnelle Prozessoren, die vorzugsweise in einer Multiprozessorkonfiguration angeordnet sein sollten. Unternehmen, die mit IPsec gesicherte VPNs verwenden, können Netzwerkkarten dazu einsetzen, den IPsec-Verschlüsselungsprozess auf einen separaten Prozessor auf der Netzwerkkarte zu verlagern.
Unterstützung für das Extensible Authentication-Protokoll
EAP-TLS ist ein gegenseitiger Authentifizierungsmechanismus, der für die Verwendung von Authentifizierungsmethoden in Kombination mit Sicherheitsgeräten wie Smartcards und Hardwaretokens entwickelt wurde. EAP-TLS unterstützt Point-to-Point-Protokoll (PPP)- und VPN-Verbindungen und ermöglicht den Austausch gemeinsamer geheimer Schlüssel für Microsoft Point-to-Point-Verschlüsselung (MPPE).
Die größten Vorteile von EAP-TLS bestehen darin, dass es gegenüber Brute-Force-Angriffen nicht anfällig ist und gegenseitige Authentifizierung unterstützt. Bei der gegenseitigen Authentifizierung müssen sich Client und Server gegenseitig ihre Identität bestätigen. Falls der Client oder der Server kein Zertifikat zur Identitätsüberprüfung überträgt, wird die Verbindung abgebrochen.
Windows Server 2003 unterstützt EAP-TLS für DFÜ- und VPN-Verbindungen. Dies ermöglicht die Verwendung von Smartcards für Remotebenutzer. Weitere Informationen zu EAP-TLS finden Sie unter „Extensible Authentication Protocol“ (in englischer Sprache) auf der Website https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/auth_eap.mspx.
Weitere Informationen zu EAP-Zertifikatsanforderungen finden Sie unter „Certificate Requirements when you use EAP-TLS and PEAP with EAP-TLS“ (in englischer Sprache) auf der Website https://support.microsoft.com/default.aspx?scid=kb;en-us;814394.
Identifizieren von Anforderungen für den Authentifizierungsserver
Bei der Anmeldung müssen Remotebenutzer ihre Anmeldeinformationen einem Authentifizierungsdienst vorlegen. Windows bietet zwei Authentifizierungsdienste für Remotebenutzer:
Internetauthentifizierungsdienst (IAS)-Server
Der Active Directory®-Verzeichnisdienst
Wenn sich Ihr Unternehmen für den RADIUS-Authentifizierungsdienst entscheidet, müssen IAS-Server in Ihrer Konfiguration vorhanden sein. IAS ist die Microsoft-Implementierung von RADIUS und wird unter Windows 2000 Server oder höher als Dienst ausgeführt.
Die Implementierung von IAS für die RADIUS-Authentifizierung mit Smartcards kann Unternehmen folgende Vorteile bieten:
Zentrale Benutzerautorisierung und -authentifizierung
Separate Verwaltungs- und Kontenmechanismen
Große Auswahl an Autorisierungs- und Authentifizierungsoptionen
Der IAS-Server verwaltet den Authentifizierungsprozess. IAS leitet die Authentifizierungsanfrage des Benutzers und die Anmeldezertifikatsinformationen an Active Directory weiter. Active Directory vergleicht das Anmeldezertifikat mit den für diesen Remotebenutzer gespeicherten Zertifikatsinformationen. Stimmen die Zertifikatsinformationen überein, wird der Benutzer von Active Directory authentifiziert.
Weitere Informationen zu Lösungsentwürfen, in denen IAS verwendet wird, finden Sie im Abschnitt „Lösungsentwurf“ weiter unten in diesem Kapitel.
Verteilung und Registrierung der Smartcards für den Remotezugriff
Die Verteilung und Registrierung von Smartcards für den Remotezugriff verläuft auf ähnliche Art und Weise wie der in Kapitel 3, „Verwendung von Smartcards zur Sicherung von Administratorkonten“, beschriebene Prozess für Administratorkonten. Der Hauptunterschied besteht darin, dass die Verteilung und Registrierung in diesem Fall eine größere Anzahl an Benutzern umfasst und unter Umständen in mehreren Ländern und Regionen durchgeführt wird.
Die Überprüfung der Identität von Remotebenutzern ist nach wie vor ein wichtiger Bestandteil dieses Vorgangs. Da Remotebenutzer jedoch nicht über dieselben Rechte wie Administratoren verfügen, sollte die Verwendung von Lichtbildausweisen wie Reisepässen oder Führerscheinen zur Identifizierung ausreichend sein. Ein leitender Angestellter sollte eine ausreichende Begründung vorlegen, bevor der Administrator einem Benutzer Remotezugriff zuweist.
Registrierungsstationen sollten sich an geeigneten Orten wie den Räumen der Personal- oder Sicherheitsabteilung befinden, und die Smartcards sollten dort an die Benutzer ausgegeben werden. Für Benutzer, die nicht die Möglichkeit haben, eine Registrierungsstation persönlich aufzusuchen, kann die Entsperrung und Registrierung sowie die Aktivierung der Smartcard über Remotetools vorgenommen werden.
Der Registrierungsvorgang erfordert einen Registrierungsagenten, über den die Zertifikatsanforderung im Namen des Benutzers gestellt und das anschließend generierte Zertifikat auf der Smartcard installiert wird. Der Registrierungsagent sendet die gesperrte Smartcard über einen sicheren Versandweg an den Benutzer. Anschließend wendet sich der Benutzer an den Helpdesk, richtet seine Identität ein und entsperrt die Smartcard wie in Kapitel 2, „Smartcardtechnologien“ im Abschnitt „Aktivierungswebserver“ beschrieben.
Weitere Überlegungen
Die Einführung von Remotezugriff innerhalb eines Unternehmens führt häufig dazu, dass Benutzer in zunehmendem Maße Gebrauch von diesem Dienst machen möchten. Deshalb müssen Unternehmen bei der Einführung von Remotezugriff die vorhandene Netzwerkinfrastruktur überprüfen und, falls erforderlich, zusätzliche Ressourcen einsetzen. Zu berücksichtigende Faktoren:
Zertifikatssperrlisten
Hohe Verfügbarkeit und Bandbreite
Verteilung von Softwareupdates
Zertifikatssperrlisten
Die Implementierung von Zertifikaten für Remotebenutzer beinhaltet Änderungen an der Vorgehensweise, wie Clients eine Zertifikatssperrliste (Certificate Revocation List, CRL) lokalisieren können, um die Gültigkeit eines Zertifikats zu überprüfen. Die standardmäßige URL der CRL für Windows Server 2003 verweist auf einen Intranetstandort, z. B. URL=http://Certification_Root_Server_DNS_Name/CertEnroll/
Certification_Authority_Name.crl.
Bei Remotebenutzern muss diese URL auf einen Standort verweisen, der über das Internet zugänglich ist. Diese Anforderung gilt für alle ausgegebenen Zertifikate und umfasst sowohl Intranet- als auch Extranet-URLs für die CRL. Weitere Informationen zur Anpassung von CRLs finden Sie unter „Specify certificate revocation list distribution points in issued certificates“ (in englischer Sprache) auf der Website https://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag_CSprocs_CDP.asp.
Hinweis: Wenn die CRL über eine langsame Verbindung heruntergeladen wird, können bei Remotecomputern Zeitüberschreitungsprobleme auftreten.
Verteilung von Softwareupdates
Die Implementierung eines Mechanismus zur Verteilung von Softwareupdates stellt einen wichtigen Schritt im Rahmen der Bereitstellung von Smartcards zur Steuerung des Benutzerzugriffs dar. Softwareupdates umfassen aktualisierte Verbindungs-Manager-Profile sowie neue Versionen von Smartcardtools.
Softwareupdates können über folgende Systeme und Medien verteilt werden:
Extern zugängliche Webserver, die Updates beinhalten.
CDs oder USB-Schlüssel.
Softwareverwaltungslösungen wie Systems Management Server (SMS) 2003.
E-Mail-Nachrichten, die mit Code signierte Updates enthalten.
Wenn Sie die VPN-Quarantänefunktion implementieren, können Sie Verbindungs-Manager-Profilupdates auf dieselbe Art und Weise verteilen wie Sicherheitsupdates und Antivirussoftware. Weitere Informationen zur VPN-Quarantänefunktion finden Sie unter „Implementing Quarantine Services with Microsoft Virtual Private Network Planning Guide“ (in englischer Sprache) auf der Website https://go.microsoft.com/fwlink/?LinkId=41307.
Die Bereitstellung von Verbindungs-Manager- und Smartcardupdates über extern zugängliche Webserver ermöglicht Benutzern das Herunterladen der Updates, ohne eine Verbindung zum jeweiligen Unternehmensnetzwerk herstellen zu müssen. Der Nachteil dieser Lösung besteht darin, dass eine Authentifizierung mithilfe von Smartcards bei den externen Webservern unter Umständen nicht möglich ist. In diesem Fall müssen sich Benutzer beim Anmelden und Herunterladen von Updates auf Benutzername und Kennwort verlassen. Dies entspricht zwar nicht mehr dem Prinzip der 2-Faktoren-Authentifizierung (da der Webserver in diesem Fall nur dazu dient, Updateressourcen zur Verfügung zu stellen), das damit verbundene Risiko ist jedoch unter Umständen akzeptabel.
Die Verwendung von CDs zum Verteilen von Updates eignet sich vor allem bei großen erstmaligen Rollouts, da die Kosten pro CD mit zunehmender Menge geringer werden. USB-Schlüssel sind eher für die individuelle Verteilung von Updates geeignet.
Bei der Verwendung von Softwareverwaltungssystemen wie Systems Management Server 2003 zur Verteilung von Softwareupdates ist es erforderlich, dass die jeweiligen Computer an das Netzwerk angeschlossen sind. Dieser Mechanismus eignet sich für mobile und Remotebenutzer, die sich regelmäßig am LAN anmelden und Computer verwenden, die Mitglieder der Domäne des jeweiligen Unternehmens sind. Für Remotebenutzer, die ihre eigenen Computer zu Hause verwenden, sind Softwareupdatemechanismen wie Systems Management Server jedoch ungeeignet.
In bestimmten Fällen können Updates per E-Mail versandt werden. Wenn Sie diese Methode der Softwareverteilung implementieren möchten, müssen Sie mit Code signierte Updates zur Verfügung stellen und die Benutzer darin unterweisen, die Echtheit des Codesignaturzertifikats zu überprüfen.
In diesem Abschnitt wurden Komponenten behandelt, mit deren Hilfe die Smartcardauthentifizierung für Remotebenutzerkonten durchgeführt werden kann. Der nächste Abschnitt zu Anforderungen und Problemen behandelt die Schwierigkeiten, mit denen die Woodgrove National Bank bei der Implementierung von Smartcards konfrontiert wird.
Probleme und Anforderungen
Während der Planungs- und Entwurfsphase der Remotezugriffslösung mit Smartcards ermittelte die IT-Abteilung der Woodgrove Bank verschiedene betrieblich, technisch und sicherheitstechnisch bedingte Probleme. Im folgenden Abschnitt werden diese Probleme genauer beschrieben.
Woodgrove National Bank – Hintergrundszenario
Die Woodgrove National Bank stellt ihren Vertriebsmitarbeitern, IT-Supportmitarbeitern sowie leitenden Angestellten Remotezugriff auf ihr Unternehmensnetzwerk zur Verfügung. Die derzeitige Remotezugriffslösung beruht auf DFÜ-Netzwerkverbindungen, die über private Leitungen mit dedizierten RAS-Servern hergestellt werden, die mit Modems oder ISDN-Adaptern ausgerüstet sind. Im Vergleich zu Breitbandverbindungen sind diese Verbindungen langsam und kostspielig, insbesondere wenn sie von Remotebenutzern verwendet werden, die um die ganze Welt reisen.
Die zunehmende Verfügbarkeit von Breitbandverbindungen ermöglicht Unternehmen, VPN für den Remotezugriff zu verwenden. Durch die Abschaffung der DFÜ-Verbindungen werden bei dieser Methode die Kosten erheblich reduziert und die Benutzerfreundlichkeit erhöht. Gleichzeitig ist die Bank jedoch verstärkt der Gefahr durch bösartige Angriffe ausgesetzt.
Einhaltung gesetzlicher Bestimmungen
Als Finanzinstitut ist die Woodgrove National Bank strengen gesetzlichen Bestimmungen in verschiedenen Ländern und Regionen unterworfen. Gleichzeitig muss die Bank das Vertrauen ihrer Kunden wahren, indem sie sowohl ihre eigenen als auch die Vermögenswerte ihrer Kunden schützt. Die Woodgrove National Bank startete eine Initiative zur Steigerung der Computersicherheit und richtete strenge Sicherheitsrichtlinien auf allen Computern ein, die auf das Unternehmensnetzwerk zugreifen, sei es über das lokale Netzwerk (LAN) oder über Remotezugriff.
Authentifizierung von Benutzern
Die von der Woodgrove National Bank derzeit verwendete Remotezugriffslösung ist nicht ausreichend vor Angriffen durch Identitätsmissbrauch geschützt. (Dabei versucht ein Angreifer, den Benutzernamen und das Kennwort eines Benutzers zu ermitteln und zu missbrauchen.) Angriffe durch Identitätsmissbrauch führen zur Sperrung von Remotezugriffskonten, so dass sich der rechtmäßige Benutzer nicht mehr anmelden kann. Diese Schwachstelle führt zu erhöhten Risiken für das Unternehmensnetzwerk. Deshalb sah sich die Woodgrove National Bank genötigt, die Verbindungsoptionen, die den Benutzern zuvor zur Verfügung gestellt worden waren, einzuschränken.
Geschäftliche Aspekte
Viele leitende Angestellte verwenden Remotezugriff. Bei der Bereitstellung einer Smartcardlösung ist Sicherheit zwar von höchster Bedeutung, gleichzeitig darf die Produktivität der mit Remotezugriff arbeitenden Mitarbeiter jedoch nicht beeinträchtigt werden. Die bereitgestellte Lösung muss beiden Anforderungen gleichermaßen gerecht werden.
Gewährleisten der Produktivität
Mitarbeiter reagieren häufig ablehnend gegenüber Sicherheitslösungen, die ihre Produktivität beeinträchtigen. Benutzer sind vielfach frustriert, wenn sie während und unmittelbar nach der Bereitstellung solcher Lösungen nicht auf Netzwerkressourcen zugreifen können. Um Frustration unter Mitarbeitern zu vermeiden, muss die IT-Abteilung der Woodgrove Bank alternative Zugriffsmethoden anbieten. Folgende Tools stellen alternative Methoden für den Netzwerkzugriff dar:
Outlook Web Access: Bietet den Benutzern sicheren E-Mail-Zugriff über einen Webbrowser.
Remotedesktop und Terminaldienste: Mitarbeiter können Remotedesktop und Terminaldienste verwenden, um auf Branchenanwendungen und Desktopdateien zuzugreifen.
Helpdesksupport
Die Integrität einer Remotezugriffslösung sowie ihre Akzeptanz durch die Benutzer hängen häufig von der Art des Supports ab, der für diese Lösung zur Verfügung gestellt wird. Leitende Angestellte sind schnell frustriert, wenn sie ständig Zeit in den Warteschlangen des Supports verbringen müssen. Deshalb müssen Unternehmen sowohl für die Schulung der Endbenutzer als auch für die Schulung des Supportpersonals Mittel bereitstellen.
Technische Aspekte
Die Woodgrove National Bank hat mehrere entscheidende technische Probleme ermittelt, die noch vor der Bereitstellung von Smartcards für den Remotezugriff beachtet werden müssen. Zu diesen Problemen gehören u. a. die Verteilung von Smartcards und Smartcardlesegeräten, die Integration der Lösung in das bestehende Netzwerk bei minimaler Ausfallzeit sowie die Integration in die vorhandene IT-Verwaltungsinfrastruktur.
Unterstützte Smartcardlesegeräte. Remotebenutzer verwenden bei der Arbeit zu Hause unter Umständen Computer mit unterschiedlichen Betriebssystemen. Die IT-Abteilung der Woodgrove Bank hat entschieden, dass nur Systeme mit Windows XP Professional mit SP2 oder höher unterstützt werden. Für Remotebenutzer, auf deren Computer Windows 2000 Professional installiert war, bestand somit keine Garantie, dass die verwendeten Smartcardleser auf ihren Geräten funktionieren würden.
Netzwerklatenz. Bei der Übertragung von Datenpaketen vom Client zum RAS-Server und zurück können lange Übertragungszeiten dazu führen, dass mit VPN gesicherte Verbindungen abgebrochen werden. Dies stellt vor allem bei Breitbandsatellitenverbindungen ein großes Problem dar. Aus diesem Grund hat sich die Woodgrove National Bank entschieden, Remoteverbindungen mit durchschnittlichen Wartezeiten von mehr als 300 Millisekunden nicht zu unterstützen.
Verteilung der Smartcards. Die Woodgrove National Bank ist weltweit in verschiedenen Ländern und Regionen tätig. Deshalb stellt die Verteilung von Smartcards sowohl in technischer als auch sicherheitstechnischer Hinsicht eine Herausforderung dar. Die Registrierungsagenten müssen auf den Aktivierungswebserver zugreifen können – unabhängig davon, in welchem Land oder in welcher Region sie sich gerade befinden. Alternativ müssen Benutzer müssen die Möglichkeit haben, Smartcards über ein Anfrage/Antwort-System zu entsperren. Das Anfrage/Antwort-System erfordert u. U. zusätzlichen Entwicklungsaufwand. Hierfür steht das Software Development Kit (SDK) des Smartcardanbieters zur Verfügung.
Sicherheitsaspekte
Folgende Aspekte beeinflussen die Sicherheitsstrategie der Woodgrove National Bank bei der Implementierung von sicherem Remotezugriff unter Verwendung von Smartcards:
Identifikation von RAS-Benutzern. Die IT-Abteilung der Woodgrove National Bank muss die Identität von RAS-Benutzern während des Verteilungs- und Aktivierungsvorgangs überprüfen.
Ausnahmeverbindungen für die Woodgrove-Lösung. Smartcards können verloren gehen, gestohlen oder einfach vergessen werden. Deshalb muss die IT-Abteilung der Woodgrove Bank dafür sorgen, dass die Smartcardlösung des Unternehmens eine Methode vorsieht, mit der Ersatzkarten schnell und sicher verteilt werden können. Zudem muss eine Methode zur Verfügung stehen, mit der Ausnahmen behandelt werden können, solange die Ersatzkarten noch nicht bei den betreffenden Benutzern eingetroffen sind.
Anforderungen an die Lösung
Lösungen zur Verwendung von Smartcards für die Sicherung von Remotezugriffskonten müssen folgende Komponenten beinhalten:
Internetauthentifizierungsdienst (IAS). Die derzeit verwendeten IAS-Server müssen auf Windows Server 2003 mit Service Pack 1 oder höher aktualisiert werden, um die Funktion der verbesserten IP-Filter sowie der anbieterspezifischen Attribute zu ermöglichen. Zudem muss die IT-Abteilung der Woodgrove Bank die RAS-Server für die Unterstützung von EAP-TLS konfigurieren.
Smartcardbenutzervorlagen. Die Woodgrove National Bank muss eine Anpassung der Zertifikatsvorlagen vornehmen und die korrekten Berechtigungen auf den Vorlagen festlegen. Für den Zertifikatsregistrierungsassistenten und die Smartcardanmeldevorlagen sind geeignete Berechtigungen erforderlich.
Hinweis: Sie können den Remotezugriff auf Smartcardzertifikate einschränken, indem Sie die Remotezugriffsrichtlinie so einrichten, dass nur Zertifikate mit einer bestimmten Objektkennung akzeptiert werden. Weitere Informationen zu Zertifikatsvorlagen und Objektkennungen erhalten Sie im Whitepaper „Implementing and Administering Certificate Templates in Windows Server 2003“ (in englischer Sprache) auf der Website https://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws03crtm.mspx.
PIN-Verwaltungstools. Benutzer benötigen ein Dienstprogramm, um ihre eigenen PINs verwalten zu können. Die meisten Smartcardanbieter bieten einfache PIN-Verwaltungstools an. Die IT-Abteilung der Woodgrove Bank hat sich dazu entschlossen, ein solches PIN-Verwaltungstool in ein Dienstprogramm zum Entsperren von PINs für den Remotezugriff zu integrieren.
Gruppenrichtlinienobjekte (GPOs). Die IT-Abteilung der Woodgrove Bank muss für die Struktur der Organisationseinheiten des Unternehmens geeignete GPOs erstellen. Diese GPOs müssen so konfiguriert werden, dass sie Ausnahmen unterstützen, z. B. einen Benutzer, der seine Smartcard oder PIN verloren oder vergessen hat.
Verbindungs-Manager-Profile. Die IT-Abteilung der Woodgrove Bank muss speziell konfigurierte Verbindungs-Manager-Profile erstellen, die geeignete DFÜ- oder VPN-Serververbindungseinstellungen für die RAS-Server der Woodgrove Bank enthalten. Zudem muss die IT-Abteilung den Text der Benutzeroberfläche des Verbindungs-Manager-Profils so anpassen, dass die Benutzer den Verbindungsprozess verstehen und bei auftretenden Problemen über die richtige Vorgehensweise informiert werden. Die IT-Abteilung der Woodgrove Bank erstellte unterschiedliche Verbindungs-Manager-Profile für leitende Angestellte und gewöhnliche Benutzer sowie ein Profil für die Mitarbeiter der Verwaltung. Für jedes Profil waren bei der Einrichtung der Verbindungen andere Kriterien entscheidend. Administratoren können ungeachtet der Netzwerkauslastung eine Remoteverbindung herstellen.
Windows XP Professional mit Service Pack 2. Die Woodgrove National Bank muss alle Computer mit Remotezugriff auf Windows XP Professional mit SP2 oder höher aktualisieren. Windows XP Professional mit SP2 bietet verbesserte Sicherheitsfunktionen wie Windows Firewall und verbesserte Unterstützung automatischer Updates, durch die die Integrität der Remotezugriffslösung erhöht wird. Windows XP Home mit SP2 bietet diese Sicherheitsvorteile zwar ebenfalls, kann jedoch keiner Domäne beitreten und keine Gruppenrichtlinie verwenden. Windows 2000 Professional mit SP4 verfügt nicht über die Sicherheitsfunktionen, die Windows XP Professional mit SP2 bietet.
Beschaffung von Smartcards und Smartcardlesegeräten. Obwohl die Woodgrove National Bank bereits über eine ausgereifte PKI verfügt, würde die Installation des Windows-Betriebssystems für Smartcards auf leeren Smartcards dem Unternehmen keine Vorteile bieten. Die meisten Anbieter vertreiben Smartcards, auf denen das Betriebssystem bereits installiert ist. Smartcards und Smartcardlesegeräte von einem einzelnen Anbieter zu erwerben bietet den Vorteil, dass bei Supportanfragen eine dedizierte Kontaktstelle angesprochen werden kann.
USB- oder PC-Karten-Smartcardlesegeräte. Die Erstellung einer Standardbasislinie für die Bereitstellung minimiert die Installationskosten einer Smartcardlösung. Die Woodgrove National Bank führte eine Unternehmensrichtlinie ein, die vorgibt, dass alle neuen tragbaren Computer über integrierte Smartcardlesegeräte verfügen müssen. Darüber hinaus wurde ein allgemeiner Standard für die Bereitstellung von USB-Smartcardlesegeräten definiert. Die Bank stellt allen Mitarbeitern USB-Kartenlesegeräte zur Verfügung, die bei der Arbeit zu Hause ihren eigenen Computer verwenden. Die Woodgrove Bank schloss mit dem Anbieter der Smartcards einen Vertrag ab, um bei der Bereitstellung der Geräte Kontinuität zu gewährleisten. In diesem Vertrag wurde festgelegt, dass der Anbieter über einen Zeitraum von zwei Jahren dasselbe Kartenlesegerät-Modell zur Verfügung stellen muss.
Vertrauensstellungen. Bei der Bereitstellung der Smartcards verwendete die Woodgrove National Bank die derzeit bestehenden Vertrauensstellungen zwischen einzelnen Gesamtstrukturen und beliebigen unidirektionalen Vertrauensstellungen, z. B. zwischen den kleineren Gesamtstrukturen des Entwicklerteams und der Gesamtstruktur des Unternehmens. Hierfür waren keine Änderungen an den Zertifikatsvorlagen erforderlich.
Windows Server 2003 Public Key Infrastructure (PKI). Windows Server 2003 Certificate Services bietet die Möglichkeit, Elementen einer standardmäßigen Smartcardzertifikatsvorlage Berechtigungen zuzuweisen und Vorlagen anzupassen. Die Flexibilität von Berechtigungen ist eine entscheidende Voraussetzung, die es der IT-Abteilung der Woodgrove Bank ermöglicht, das festgelegte Zertifikatsausgabemodell sicher zu delegieren. Die IT-Abteilung der Woodgrove Bank verwendet die verbesserten PKI-Funktionen von Windows Server 2003, um Regeln für die automatische Erneuerung von Zertifikaten festzulegen. Durch die Verwendung der Funktionen für die Zertifikatsvorlagenberechtigungen wird bewirkt, dass alle Sicherheitsbeauftragten der Woodgrove National Bank sämtliche neuen Smartcardzertifikatsregistrierungen manuell erstellen müssen. Die Benutzer können jedoch alle bereits bestehenden Smartcardzertifikate automatisch erneuern lassen.
Die Woodgrove National Bank verwendete bereits eine PKI mit Windows 2000 Server, als sich das Unternehmen dazu entschloss, Smartcards einzuführen. Anstatt die Dienste von Dritten in Anspruch zu nehmen, verwendete die IT-Abteilung der Woodgrove National Bank für das erste Pilotprojekt die bereits vorhandene, auf Windows 2000 basierende Sicherheitsinfrastruktur, um Zertifikate zu erstellen und zu verwalten. Die Smartcardsicherheitslösung der Woodgrove Bank erfordert jedoch, dass Zertifikate innerhalb von einem Jahr ablaufen. Diese Anforderung würde durch die jährlich anfallende manuelle Erneuerung zehntausender Zertifikate erhebliche Supportkosten verursachen. Zur Vermeidung dieses enormen Verwaltungsaufwands entschloss sich das IT-Team der Woodgrove National Bank, die bestehende PKI auf Windows Server 2003 zu aktualisieren.
Hätte die Woodgrove National Bank die auf Windows 2000 Server basierende PKI für die automatische Zertifikatserneuerung verwendet, wären die Optionen für die Zertifikatserneuerung darauf beschränkt gewesen, die Erneuerung sämtlicher Zertifikate entweder automatisch oder manuell durchzuführen. Durch die automatische Erneuerung aller Zertifikate wären die Erneuerungsoptionen stark eingeschränkt gewesen.
Lösungsentwurf
In diesem Abschnitt wird beschrieben, welche Entscheidungen die IT-Abteilung der Woodgrove National Bank beim Entwurf einer Smartcardlösung zur Sicherung des Remotezugriffs getroffen hat. Dieser Abschnitt beinhaltet das Lösungskonzept sowie die Lösungsvoraussetzungen und beschreibt die Lösungsarchitektur.
Lösungskonzept
Die Lösung beinhaltet eine Kombination aus Gruppenrichtlinieneinstellungen, Remotezugriffsrichtlinien, Verbindungs-Manager-Profilen, auf Smartcards installierte Benutzerzertifikate des Typs X.509, Version 3 und Smartcardlesegeräte. Das Konzept sieht vor, dass ein RAS-Benutzer ein benutzerdefiniertes Verbindungs-Manager-Profil aktiviert, das den Benutzer auffordert, eine Smartcard in das angeschlossene Smartcardlesegerät einzulegen. Anschließend wird der Benutzer durch das Betriebssystem zur Eingabe einer PIN aufgefordert. Wenn die PIN korrekt ist, extrahiert das Lesegerät das Smartcardzertifikat und die Kontoinformationen. Der Verbindungs-Manager stellt daraufhin eine Verbindung zum RAS-Server des Unternehmens her und übermittelt die Anmeldeinformationen der Smartcard. Active Directory authentifiziert diese Anmeldeinformationen, und der RAS-Server ermöglicht dem Benutzer den Zugriff auf das Unternehmensnetzwerk.
Voraussetzungen für die Lösung
Die Voraussetzungen für die Verwendung von Smartcards zur Sicherung von Remotezugriffskonten ähneln den Voraussetzungen für die Smartcardlösung zur Sicherung von Administratorkonten. Sie müssen:
Kommunikation mit Benutzern und Gruppen
Zusammenstellung des Projektteams
Bestimmung der Benutzererwartungen
Aktualisierung von Hardware und Software
Sichere Verteilung und Aktivierung von Smartcards
Beratung von Benutzern und Gruppen
Im Rahmen des Projekts sollten Sie bereits bestehende Remotezugriffslösungen evaluieren und die jeweiligen Benutzer dazu befragen. In allen Ländern und Regionen, in denen die Woodgrove National Bank tätig ist, verfügen die Mitarbeiter der Bank über Remotezugriff. Von diesen RAS-Benutzern und den zuständigen Supportteams wurde zunächst Feedback eingeholt, um potenzielle Benutzer, Gruppen und Supportmitarbeiter für die Teilnahme an den Pilotprojekten zu ermitteln.
Zusammenstellung des Projektteams
Für die Umsetzung eines derartigen Projekts werden geeignete Mitarbeiter benötigt, die über die erforderlichen Kenntnissen verfügen. Das Projektteam ist wahrscheinlich auf die Zusammenarbeit folgender Personen angewiesen:
Programmmanager
Informationssystemarchitekt
Systemanalytiker oder -integrator
Systemtechniker
Produkteinführungsmanager
Produkttestmanager
Support- oder Helpdeskmanager
Benutzersupportspezialisten
Sicherheitsbeauftragte
Weitere Informationen zu repräsentativen Tätigkeitsbereichen und Rollenzuweisungen im Microsoft Operations Framework (MOF) finden Sie in „The Microsoft Solutions Framework Supplemental Whitepapers – IT Occupation Taxonomy“ (in englischer Sprache) unter https://www.microsoft.com/downloads/details.aspx?FamilyID=839058c3-d998-4700-b958-3bedfee2c053.
Wenn Sie bestimmte Personalvoraussetzungen nicht erfüllen können, müssen Sie zusätzliches Personal anstellen. Da für das Projekt normalerweise nicht in jeder Phase alle Arten von Personal erforderlich sind, müssen Sie für die gesamte Dauer des Projekts die Verfügbarkeit des Personals planen.
Bestimmung der Benutzererwartungen
Bei der Verwendung von Smartcards und Remotezugriff sollten die Benutzer vor allem auf längere Anmeldezeiten vorbereitet sein. Durch die Smartcardauthentifizierung verlängern sich die Anmeldezeiten um einige Sekunden.
Aktualisierung von Hardware und Software
Die Remotezugriffslösung unter Verwendung von Smartcards erfordert das aktuellste Microsoft-Betriebssystem und Service Pack. Dadurch können für die Remotezugriffslösung die neuesten Entwicklungen und Sicherheitsfunktionen von Windows XP Professional mit SP2 und Windows Server 2003 mit SP1 eingesetzt werden (z. B. Windows Firewall, Datenausführungsschutz, Sicherheitskonfigurations-Assistent und VPN Quarantine).
Die Softwareupgrades erfordern unter Umständen auch Upgrades der Client- oder Serverhardware. Im Rahmen eines Pilotprogramms kann festgestellt werden, ob die neuen Betriebssysteme auf der älteren Hardware ausgeführt werden können. Informationen zur Überprüfung, ob Hardware für Windows XP oder Windows Server 2003 zertifiziert ist, finden Sie unter „Products Designed for Microsoft Windows – Windows Catalog and HCL“ (in englischer Sprache) auf der Website https://www.microsoft.com/whdc/hcl/default.mspx?gssnb=1.
Sichere Verteilung und Aktivierung von Smartcards
Die Implementierung von Smartcards für den Remotezugriff erfordert eine sichere Methode zur Verteilung und Aktivierung der Smartcards. In der Regel sollte der Verteilungsprozess folgendermaßen ablaufen: RAS-Benutzer stellen einen Antrag bei der jeweils zuständigen lokalen Verwaltungsstelle. Anschließend bestätigt der Registrierungsagent ihre Identität, gibt die Smartcards aus und führt den Aktivierungsprozess durch. Im Abschnitt zum Modell für die delegierte Ausgabe (Delegated Issuance) weiter unten in diesem Kapitel wird beschrieben, wie die Woodgrove National Bank Smartcards für RAS-Benutzer verteilt und aktiviert hat.
Lösungsarchitektur
Die Implementierung der Smartcardlösung für den Remotezugriff bei der Woodgrove National Bank erforderte folgende Komponenten:
Active Directory
Windows Server 2003-Server mit IAS
Windows Server 2003 mit SP1 mit Routing und Remotezugriff
Gruppenrichtlinie
Clientcomputer mit Windows XP Professional mit SP2 oder höher
Smartcardlesegeräte
Smartcards mit mindestens 32 KB Speicher
Mithilfe von CMAK erstellte Verbindungs-Manager-Profile
Clientseitige Skripts für das Verbindungs-Manager-Profil
Die IT-Abteilung der Woodgrove Bank zog zunächst die Unterstützung aller derzeit eingesetzten Windows-Versionen in Betracht. Aufgrund der zunehmenden Gefahren, denen ans Internet angeschlossene Computer ausgesetzt sind, entschloss man sich jedoch, Windows XP Professional mit SP2 oder höher als Standard einzuführen.
In Active Directory gespeicherte Benutzerkonten und Gruppenmitgliedschaften regeln die Remoteverbindung sowie den Remotezugriff auf die Unternehmensressourcen der Woodgrove National Bank. Die IT-Abteilung der Woodgrove Bank verwendet zudem Gruppenrichtlinienobjekte (GPOs) für die Konfiguration der Clientcomputer, um die Sicherheitsrichtlinien für das Unternehmensnetzwerk zu erfüllen.
Funktionsweise der Lösung
In diesem Abschnitt werden technische Details der Lösung der Woodgrove National Bank beschrieben. Es wird erklärt, wie Active Directory Benutzer authentifiziert und den Authentifizierungspfad zur Ermittlung der Smartcardanmeldeinformationen verfolgt.
Über die folgende Vorgehensweise wird der Remotezugriff mithilfe von Smartcards ermöglicht:
Ein RAS-Benutzer meldet sich an einem Computer an, der über Internetzugriff und ein Smartcardlesegerät verfügt. Der Benutzer aktiviert das benutzerdefinierte Verbindungs-Manager-Profil, indem er auf die Verbindung mit dem Namen Woodgrove IT Verbindungs-Manager für Smartcards klickt.
Das Verbindungs-Manager-Profil überprüft das Smartcardlesegerät auf eingelegte Smartcards. Ein Dialogfeld wird angezeigt, in dem der Benutzer zur Eingabe der PIN aufgefordert wird. Der Verbindungs-Manager verwendet die PIN zur Ausführung von Schlüsselvorgängen auf der Karte als Systemdienst, da die Anwendung keine Eingabeaufforderung oder Benutzeroberfläche auf dem Desktop anzeigen kann. Gibt der Benutzer die korrekte PIN ein, wird die Karte entsperrt, und der Anmeldevorgang für den Remotezugriff kann fortgesetzt werden.
Die lokale Sicherheitsautorität (LSA) ist die vertrauenswürdige Betriebssystemkomponente, die alle Authentifizierungen durchführt. SChannel, der Code, über den SSL implementiert wird, wird zum Teil in der LSA ausgeführt und leitet die Zuordnungssequenz ein.
Das Verbindungs-Manager-Profil erstellt mithilfe einer DFÜ- oder VPN-Verbindung eine Verknüpfung zu den IAS-Servern der Woodgrove National Bank. Der IAS-Server führt eine Sperrungsüberprüfung für das Clientzertifikat durch. Wenn das Zertifikat dem Benutzerprinzipalnamen (User Principal Name, UPN) zugeordnet ist, muss sich der ausgebende CA im NTAUTH-Speicher befinden. Explizite Zuordnung kann darüber hinaus im Active Directory-Benutzerkonto festgelegt werden.
Die LSA übermittelt die Benutzerdaten an den IAS-Server. Der SChannel-Code, der auf dem IAS-Server ausgeführt wird, sendet eine Meldung an den SChannel-Code auf dem Domänencontroller und leitet die UPN-Informationen aus dem Zertifikat an diesen weiter.
Der auf dem IAS-Server ausgeführte SChannelcode überprüft das Zertifikat und führt anschließend eine Benutzerüberprüfung auf Grundlage des Active Directory des Domänencontrollers durch. Der Domänencontroller generiert ein Privilege Access-Zertifikat (PAC), das die 128-Bit-ID sowie die Gruppenmitgliedschaft der Benutzers enthält. Für alle folgenden Kommunikationsvorgänge wird das Kerberos V5-Protokoll verwendet.
Der Domänencontroller überträgt einen zufällig generierten Sitzungsschlüssel, der das Kerberos-TGT (ticketgewährendes Ticket) enthält, an den Clientcomputer. Mit dem Empfang dieses Schlüssels wird der RAS-Server durch den Client authentifiziert. Beide Computer haben sich jetzt gegenseitig authentifiziert.
Der Clientcomputer entschlüsselt den Schlüssel der Anmeldesitzung und übermittelt das Kerberos V5-TGT an den Ticketerteilungsdienst. Nachdem dieser Vorgang abgeschlossen ist, wird für alle weiteren Kommunikationsvorgänge mit dem Kerberos V5-Protokoll symmetrische Verschlüsselung verwendet.
Wenn der Benutzer eine DFÜ-Verbindung verwendet, wird eine Eingabeaufforderung für Benutzername und Kennwort angezeigt. Der Benutzer gibt seine Anmeldeinformationen ein und kann anschließend auf alle Netzwerkressourcen der Woodgrove Bank zugreifen. Benutzer, die eine VPN-Verbindung verwenden, müssen diesen Schritt nicht durchführen.
In der folgenden Abbildung werden die einzelnen Schritte dargestellt, die für die Verwendung einer Smartcard für die RAS-Authentifizierung erforderlich sind.
.gif "Dd443740.pgfg0401(de-de,TechNet.10).gif")
Abbildung 4.1: Anmelde- und Authentifizierungsvorgang für den Remotezugriff mithilfe von Smartcards
Durch die zusätzlichen Prozessorzyklen, die zur Verarbeitung der Smartcardinformationen erforderlich sind, verlängert sich der erstmalige Authentifizierungsvorgang um 20 bis 25 Sekunden. Sobald die Authentifizierung abgeschlossen ist, wird die Prozessorleistung nicht mehr beeinträchtigt.
Zusätzliche Überlegungen zum Entwurf
Im nächsten Abschnitt werden zusätzliche Überlegungen für die Bereitstellungen von Smartcards erläutert. Zudem wird der von der Woodgrove National Bank verwendete Mechanismus für die Verteilung der Smartcards beschrieben.
Modell für die delegierte Ausgabe
Die IT-Abteilung der Woodgrove National Bank entwickelte ein Modell für die delegierte Ausgabe (Delegated Issuance) von Smartcards. Dieses Modell bietet ein Unterstützungssystem, mit dessen Hilfe ein optimales Maß an Sicherheit für die Verteilung von Smartcards an Mitarbeiter weltweit gewährleistet wird.
Für die Verteilung von Smartcards außerhalb des zentralen IT-Bereichs der Woodgrove National Bank in London verwendete die IT-Abteilung der Bank ein Modell für die delegierte Ausgabe. Die IT-Abteilung entsandte Techniker in Niederlassungen der Bank auf der ganzen Welt, um Delegated Issuance Officers (DIOs) auszubilden. Die Techniker unterwiesen die DIOs in der Verteilung der Smartcards und der Verwendung der Smartcardtools. Nach diesem ersten Besuch nahmen die DIOs zur Besprechung von Fragen und Problemen an wöchentlichen Telefonkonferenzen mit der IT-Zentrale der Woodgrove National Bank teil.
In der folgenden Abbildung sind die einzelnen Schritte des Modells für die delegierte Ausgabe zur Genehmigung von Zertifikatsanforderungen dargestellt.
.gif "Dd443740.pgfg0402(de-de,TechNet.10).gif")
Abbildung 4.2: Der Smartcarddelegierungsprozess zur Ausgabe von Smartcards für den Remotezugriff
Folgende Schritte sind gemäß dieses Flussdiagramms durchzuführen:
Der Benutzer fordert beim DIO eine Smartcard an.
Der DIO überprüft die Identität des Benutzers anhand eines geeigneten Identitätsdokuments wie Reisepass oder Führerschein und lässt sich die Identität des Benutzers vom jeweiligen Abteilungsleiter bestätigen. Nachdem der DIO die Identität des Benutzer bestätigt hat, sendet er eine Zertifikatsanforderung an den Security Officer (SO) in London.
Um die Anforderung zu bestätigen, überprüft der SO, ob an den betreffenden Benutzer bereits zu einem früheren Zeitpunkt ein Zertifikat ausgegeben wurde. Der SO stellt zudem fest, ob der Benutzer weitere Smartcardanforderungen gestellt hat. Sofern nichts gegen die Ausgabe einer Smartcard spricht, erteilt der SO seine Genehmigung. Entdeckt der SO ein Problem, muss der Prozess wie in Schritt 5 beschrieben einer Prüfung unterzogen werden.
Der DIO erhält die Genehmigung und verwendet das Registrierungsagentenkonto zur Ausstellung des Zertifikats. Dieses Zertifikat wird auf einer neuen Smartcard installiert, die vom DIO persönlich an den Benutzer ausgegeben wird. Der delegierte Ausgabeprozess ist damit abgeschlossen.
Wenn Bedenken hinsichtlich der Gültigkeit einer Anforderung bestehen, leitet der SO eine Überprüfung der Anforderung ein, um festzustellen, ob eine Genehmigung für den betreffenden Benutzer erteilt werden kann. Nach Abschluss dieser Prüfung muss der Benutzer eine neue Anforderung stellen.
Der delegierte Ausgabeprozess ist abgeschlossen.
Die Woodgrove National Bank konnte das Modell für die delegierte Ausgabe erst implementieren, nachdem die IT-Abteilung der Bank die Zertifizierungsstellen des Unternehmens zu Windows Server 2003 migrierte. Die Windows Server 2003-PKI bietet die Möglichkeit, detaillierte Berechtigungen auf Abschnitte von Zertifikatsvorlagen anzuwenden, wodurch die Rolle der DIOs innerhalb des Modells ermöglicht wird. Als Teil des Ausgabemodells entwickelte die Woodgrove Bank Vorgehensweisen zur sicheren Neuausgabe verlorener oder gestohlener Smartcards.
Konfigurieren der RADIUS-Kontoführung
Die Verwaltung von Protokollen ist für die Implementierung einer RAS-Lösung mit Smartcards zwar nicht zwingend erforderlich, wird von Microsoft jedoch ausdrücklich empfohlen. Bei der Nutzung von IAS profitieren Sie unter anderem von der integrierten Unterstützung für den RADIUS-Kontoführungsanbieter, der Clientverbindungsanfragen und -sitzungen protokolliert. Die Woodgrove National Bank möchte überwachen, welche Benutzer sich wann anmelden und wie lange sie mit dem Unternehmensnetzwerk verbunden sind. Mit RADIUS kann die Woodgrove Bank das Verhalten der Benutzer analysieren und auf dieser Grundlage die Dienste entsprechend überprüfen und optimieren.
Jeder IAS-Server sammelt Sitzungsdaten von Benutzern, die in Microsoft SQL Server™ Desktop Engine (Windows) (WMSDE) mit Windows Server 2003 oder in SQL Server 2000 Desktop Engine (MSDE 2000) mit Windows 2000 Server und früheren Versionen gespeichert werden. IAS überträgt die Kontoinformationen nahezu in Echtzeit von WMSDE oder MSDE auf eine zentrale SQL Server 2000-Datenbank. Dadurch wird die kostengünstige Nutzung der SQL-Serverlizenzierung gewährleistet, ohne dass die Leistung des Servers beeinträchtigt wird.
Die Woodgrove National Bank hat regionale SQL-Server eingerichtet, mit deren Hilfe IAS-RAS-Sitzungsdaten erfasst und gesammelt werden.
Durchführen von Pilotprojekten
Die IT-Abteilung der Woodgrove National Bank testet jede Lösung in einer entsprechenden Testumgebung und an mindestens einem Pilotprojekt, bevor sie im Produktionsnetzwerk implementiert wird. Die IT-Abteilung der Woodgrove Bank hat zwei Pilotprojekte für die RAS-Smartcardbereitstellung entwickelt: An einem Projekt war eine kleine aber erfahrene Gruppe von Benutzern beteiligt. Am anderen Projekt war eine Gruppe beteiligt, die sich aus Benutzern mit unterschiedlicher Erfahrung aus mehreren Ländern/Regionen zusammensetzte.
Mithilfe des ersten Pilotprojekts mit erfahreneren Benutzern konnte die Woodgrove National Bank die schwerwiegendsten Probleme der Smartcardbereitstellung identifizieren. Die erfahreneren Benutzer kamen mit geringfügigen Störungen und unerwarteten Dialogfeldern gut zurecht. Nach Abschluss des ersten Pilotprojekts wusste die IT-Abteilung der Bank, dass die Smartcardlösung zwar funktionieren würde, dass jedoch auch einige Feinabstimmungen erforderlich sein würden.
Das zweite Pilotprojekt mit unterschiedlich erfahrenen Benutzern ermöglichte der IT-Abteilung der Woodgrove Bank die Art von Supportanfragen zu testen, die im Falle der vollständigen Implementierung der Lösung auf sie zukommen würde. Durch dieses Pilotprojekt konnte der Helpdesk technische Probleme lösen und erkannte, welche Weiterentwicklungen vor der Bereitstellung von Smartcards für alle Benutzer möglicherweise erforderlich werden würden.
Gewährleisten optimaler Verfügbarkeit
Das Lösungsszenario muss sehr zuverlässig sein, denn unbeeinträchtigte Produktivität ist eine der maßgeblichen Anforderungen an eine gut funktionierende RAS-Lösung. Die Woodgrove National Bank musste Vorkehrungen für eine optimale Verfügbarkeit treffen. Dazu gehören:
RAS-Server mit Lastenausgleich
IAS-Server mit Lastenausgleich
Redundante Netzwerkpfade
Hinweis: Aufgrund der physischen Anordnung des Netzwerks ermittelte die Woodgrove Bank geografisch Routing- und RAS-/IAS-Einstiegspunkte.
Gewährleisten ausreichender Netzwerkbandbreite
Systemarchitekten müssen bestehende Netzwerkpfade, zu erwartende Verbindungszeiten sowie Art und Ausmaß des zu erwartenden RAS-Aufkommens berücksichtigen. Die zusätzlich erforderliche Bandbreite für RAS-Benutzer sollte nicht unterschätzt werden. Die Pilotprojekte sollten dazu genutzt werden, die Muster des RAS-Aufkommens und die möglichen Auswirkungen dieses Aufkommens auf die bestehende Netzwerkinfrastruktur zu analysieren. Es ist wichtig, dass solche Versuche Benutzer ohne technischen Hintergrund und typische Verwendungsmuster beinhalten, um Probleme, die bei der vollständigen Bereitstellung zu erwarten sind, realistisch zu simulieren. Hardwareswitches, die Bandbreitensteuerung und virtuelle lokale Netzwerke (VLANs) beinhalten, können die Auswirkungen von erhöhtem RAS-Aufkommen auf die Benutzer reduzieren.
Die Woodgrove National Bank verwendet mehrere Internetdienstanbieter, um optimale Internetkonnektivität zu erzielen. Ein großer Teil der derzeit vorhandenen Bandbreite wird für Internetrecherche und E-Mail genutzt. Die IT-Abteilung der Woodgrove Bank musste die bestehenden Anordnungen neu überdenken, um das durch die RAS-Verbindungen zusätzlich verursachte Aufkommen zu bewältigen.
Ausnahmen
Die Systemarchitekten der Woodgrove National Bank haben erkannt, dass jede Lösung auf Situationen vorbereitet sein muss, in denen es aus geschäftlichen Gründen erforderlich ist, für ein oder mehrere Geräte vorübergehende Ausnahmen von den üblicherweise geltenden Sicherheitsbestimmungen zu ermöglichen. Beispielsweise könnte der Remotezugriff für leitende Angestellte während eines wichtigen Meetings von der ansonsten vorgeschriebenen Smartcardauthentifizierung ausgenommen werden. Würde die Smartcardlösung keine Möglichkeit bieten, Ausnahmen für einzelne Geräte zu machen, müsste die IT-Abteilung jedes Mal sämtliche Sicherheitsanforderungen für den Remotezugriff außer Kraft setzen, nur um eine einzelne Ausnahme zu ermöglichen. Aus diesem Grund ist es wichtig, dass eine Smartcardlösung für den Remotezugriff Ausnahmen unterstützt.
Hinweis: Die IT-Sicherheitsgruppe der Woodgrove Bank sollte die einzige autorisierte Stelle sein, die entscheidet, in welchem Fall eine Ausnahme aufgrund einer geschäftlichen Notwendigkeit das damit verbundene Sicherheitsrisiko rechtfertigt.
Für die Bearbeitung solcher Ausnahmen erstellte die IT-Abteilung der Woodgrove Bank eine neue Sicherheitsgruppe mit dem Namen RemoteSmartCardUsersTempException für vorübergehende Ausnahmen von den geltenden Anforderungen für den Remotezugriff unter Verwendung von Smartcards. Anschließend wurden die RAS-Richtlinien für den eingehenden RAS-Server wie in folgender Tabelle beschrieben konfiguriert.
Tabelle 4.1: RAS-Richtlinienbedingungen der Woodgrove National Bank
Anforderung |
Richtlinienbedingungen |
Authentifizierungstyp |
|---|---|---|
Smartcardauthentifizierung für Mitglieder der RAS-Benutzergruppe erforderlich |
Windows-Gruppen entsprechen „WOODGROVE\RemoteSmartCardUsers“ |
Ausschließlich EAP-Smartcard oder anderes Zertifikat |
Keine Smartcardauthentifizierung für Mitglieder der vorübergehenden Ausnahmengruppe erforderlich |
Windows-Gruppen entsprechen „WOODGROVE\RemoteSmartCardUsersTempException“ |
MSCHAP V2 |
Diese Anordnung setzt die Smartcardanforderung für Mitglieder der Gruppe RemoteSmartCardUsers durch, jedoch nicht für Mitglieder der Gruppe RemoteSmartCardUsersTempException. Weitere Informationen zur Voraussetzung einer Smartcardauthentifizierung für RAS-Benutzer finden Sie unter „Configure smart card remote access“ (in englischer Sprache) auf der Website https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/863638a6-f9e0-48d7-9db5-0b54af3cf135.mspx.
Anwenden von Best Practices
Die IT-Abteilung der Woodgrove National Bank stellte folgende Liste mit Best Practice-Empfehlungen auf:
Helpdesks einbinden. Ein gut vorbereiteter Helpdesk sollte Teil jedes Smartcardprojekts sein. Nach der Bereitstellung ist der Helpdesk für die Wartung zuständig. Die Mitarbeiter des Helpdesks müssen über jegliche Änderungen am internen System und technologische Entwicklungen auf dem Laufenden sein, die Auswirkungen auf die Benutzung haben.
PIN-Verwaltung ermöglichen. Das wichtigste Ziel bei der Verwendung von Smartcards ist es, die Netzwerksicherheit zu erhöhen. Deshalb ist die Sicherheit der auf den Smartcards gespeicherten Daten entscheidend. Vergessene PINs stellen sowohl während als auch nach der Smartcardbereitstellung eine Herausforderung dar. Informieren Sie sich bei Ihrem Smartcardanbieter über verfügbare PIN-Verwaltungstools, und implementieren Sie einen PIN-Zurücksetzungsprozess für Benutzer, die ihre PIN nicht an einem Standort des Unternehmens zurücksetzen können (z. B. auf Reisen).
Maßnahmen gegen Fälschung und Manipulation implementieren. Smartcards erfordern Schutz vor Fälschung und Manipulation. Die Karten sollten nach fünfmaliger falscher Eingabe der PIN automatisch gesperrt werden.
Zuständiges Team für die Zeit nach der Bereitstellung bestimmen. Das zuständige Team für die Zeit nach der Bereitstellung kann wesentlich kleiner sein, als das Team für die erstmalige Bereitstellung. Seine Aufgabe ist es, in regelmäßigen Abständen die Systemintegrität zu überprüfen und erforderliche Upgrades der Smartcardinfrastruktur zu testen und zu koordinieren.
Überwachung und Verwaltung
Eine Lösung, die Smartcards für sicheren Remotezugriff verwendet, muss die Möglichkeit beinhalten, den ordnungsgemäßen Betrieb der Lösung überwachen zu können. Dabei sollte es möglich sein, das gesamte Netzwerk, einzelne Assets oder eine Reihe von Assets in Echtzeit zu überwachen. Die verwendeten Überwachungstools müssen die Informationen beinhalten, die für ein Unternehmen erforderlich sind, um geeigneten Support für den Betrieb der Lösung zur Verfügung zu stellen. Wenn die Lösung diese Anforderung nicht erfüllt, kann das Sicherheitspersonal nicht feststellen, ob die Lösung die Sicherheit von RAS-Verbindungen effektiv gewährleistet.
Überlegungen zum Betrieb
Die IT-Abteilung der Woodgrove National Bank definierte während der Bereitstellungsphase der Lösung folgende erforderlichen Schritte:
Authentifizierung für interne Anwendungen testen. Die Verwendung einer Smartcard sollte nur die anfängliche Anmeldung betreffen. Mit dem Pilotprogramm sollte der Erfolg der Authentifizierung bei internen Anwendungen getestet und überprüft werden.
Fehlerbehebung bei Problemen mit dem Remoteclient. Zur erfolgreichen Behebung von Clientproblemen kann eine enge Zusammenarbeit von mehreren Teams in verschiedenen Zeitzonen erforderlich sein. Konsequent durchgeführte Tests und die sachgemäße Bereitstellung können dabei helfen, Supportanfragen zu reduzieren.
Mögliche RAS-Szenarien und Sicherheitsrisiken kennen. Sie müssen die möglichen RAS-Szenarien und Sicherheitsrisiken innerhalb Ihres Unternehmens sowie deren Wechselwirkungen kennen. Sie müssen Assets, die am meisten Schutz benötigen, priorisieren und ein ausgewogenes Verhältnis von Kosten und Risiken herstellen. Dies sind strategische Entscheidungen, die auf oberster Managementebene getroffen werden müssen.
Technische Herausforderungen voraussehen. Planen Sie technische Herausforderungen ein, etwa Installationsroutinen und die Verteilung von Smartcardverwaltungstools. Möglicherweise muss die Smartcardlösung in Ihre vorhandenen Unternehmensverwaltungstools integriert werden.
Leistung überwachen und verwalten. Sie müssen Leistungsaspekte überwachen und verwalten und vor der Bereitstellung klären, was Benutzer erwarten können. Beispielsweise können RAS-Benutzer bei der Erstanmeldung mit langen Anmeldezeiten konfrontiert sein, wenn sie im Dialogfeld Windows-Anmeldung die Option Über das DFÜ-Netzwerk anmelden aktiviert haben. Sie sollten sicherstellen, dass RAS-Benutzer über diese Verzögerung informiert sind.
Auf dem neuesten Stand bleiben. Wenn Sie ein Upgrade auf die neuesten Technologien durchführen möchten, sollte dies bereits in einer frühen Phase der Projektimplementierung geschehen. Durch diese Strategie wird eine Basislinie für die Client- und Serverplattform gewährleistet. Zudem werden verschiedene Variablen eliminiert, denen Sie sich andernfalls während der Bereitstellungsphase gegenübergesehen hätten. Darüber hinaus sollten durch diese Strategie die Stabilität des Dienstes erhöht und Supportkosten gesenkt werden.
Projektphasen einführen. Sie sollten das Projekt in Phasen einteilen. Zwischen den einzelnen Phasen sollte ausreichend Zeit für die Eingewöhnung der Benutzer sowie für die Stabilisierung des Systems und der Prozesse zur Verfügung stehen. Überlappende Projektphasen können sich negativ auf den Dienst auswirken und die rechtzeitige Identifizierung von Problemen beeinträchtigen.
Persönliche Assets berücksichtigen. Beachten Sie, dass die Computer, die von Mitarbeitern zu Hause genutzt werden, deren Privateigentum sind und nicht von der IT-Abteilung des Unternehmens verwaltet werden. Wenn ein Mitarbeiter die Hardware und Software, die für die Unterstützung einer mit Smartcards gesicherten Remotezugriffslösung erforderlich ist, nicht installieren möchte oder nicht in der Lage ist, dies zu tun, stehen andere Alternativen zur Verfügung. Beispielsweise bietet Microsoft Outlook® Web Access Mitarbeitern sicheren Zugriff auf ihre Microsoft Exchange Server-Mailbox.
Änderungen an der Lösung verwalten. Jegliche Änderungen und Verbesserungen, die an der Lösung vorgenommen werden, müssen anhand ähnlicher Prozesse wie die für die anfängliche Bereitstellung verwaltet werden.
Lösung optimieren. Sämtliche Aspekte der Smartcardlösung bedürfen einer regelmäßigen Überprüfung und ggf. Optimierung. Die IT-Abteilung der Woodgrove National Bank muss die Registrierungsprozesse sowie gegebenenfalls erforderliche Ausnahmen regelmäßig prüfen, um die Sicherheit und die Integrität der Lösung kontinuierlich zu verbessern.
Erweiterung der Lösung
Smartcards bilden eine gute Grundlage für weitere Anwendungsentwicklungen. So könnten Programmierer die mit Smartcards erweiterbare offene Plattform anpassen und Speicherplatz sichern, um beispielsweise die Grundlage für ein bargeldloses Zahlungssystem für die Unternehmenskantine zu schaffen.
Wenngleich die Verwendung von Smartcards zur Sicherung von Remotezugriff die Gefahr von Angriffen durch nicht autorisierte Benutzer verringert, wird durch diese Lösung nicht gewährleistet, dass alle RAS-Computer den geltenden Netzwerksicherheitsrichtlinien entsprechen. Mithilfe von Network Access Quarantine Control, einer Funktion von Windows Server 2003 mit SP1, kann überprüft werden, ob auf Remotecomputern die aktuellsten Antiviren- und Sicherheitsupdates installiert wurden. Darüber hinaus können mit Quarantine Control weitere Prüfungen vorgenommen werden, z. B. ob die Windows Firewall bei Systemen mit Windows XP mit SP2 aktiviert ist. Weitere Informationen zu Quarantine Control finden Sie unter „Implementing Quarantine Services with Microsoft Virtual Private Network Planning Guide“ (in englischer Sprache) auf der Website https://go.microsoft.com/fwlink/?LinkId=41307.
Zusammenfassung
Die Implementierung von Smartcards zur Authentifizierung von Remotezugriffsverbindungen bietet eine größere Sicherheit als einfache Kombinationen aus Benutzername und Kennwort. Mit Smartcards liegt durch Kombination aus Smartcard und PIN-Nummer eine Zweifaktor-Authentifizierung vor. Die 2-Faktoren-Authentifizierung ist wesentlich schwieriger zu manipulieren und die erforderliche PIN wesentlich einfacher einzuprägen als ein sicheres Kennwort.
Die Bereitstellung von Smartcardauthentifizierung für RAS-Benutzer ist eine zuverlässige und kostengünstige Methode, mit deren Hilfe die Netzwerksicherheit erhöht wird. In diesem Handbuch wurden die Schritte erörtert, die zur Planung und Implementierung der Lösung erforderlich sind.
In diesem Beitrag
- Übersicht
- Kapitel 1 – Einführung
- Kapitel 2 – Smartcardtechnologien
- Kapitel 3 – Verwendung von Smartcards zur Sicherung von Administratorkonten
- Kapitel 4 – Verwendung von Smartcards zur Sicherung von RAS-Konten
- Anhang A – Verwandte Links
- Danksagung
Download
Planungshandbuch für sicheren Zugriff unter Verwendung von Smartcards herunterladen
Updatebenachrichtigungen
Melden Sie sich an, um über Updates und neue Versionen informiert zu werden
Feedback
Senden Sie uns Ihre Kommentare und Anregungen
.gif "Dd443740.pageLeft(de-de,TechNet.10).gif") 5 von 7.gif "Dd443740.pageRight(de-de,TechNet.10).gif") |